DOS5907: Dependabot Secret - Name should not look like a generic token | Security KB - DevOps Shield - La plateforme DevSecOps ultime conçue pour sécuriser votre DevOps.

Ce site Web stocke des témoins sur votre ordinateur. Ces témoins servent à recueillir des renseignements sur la façon dont vous interagissez avec notre site Web et nous permettent de nous souvenir de vous. Nous utilisons ces renseignements pour améliorer et personnaliser votre expérience de navigation, ainsi que pour des analyses et des mesures concernant nos visiteurs, tant sur ce site Web que sur d’autres médias. Pour en savoir plus sur les témoins que nous utilisons, consultez notre Politique de confidentialité.

Si vous refusez, vos renseignements ne seront pas suivis lorsque vous visiterez ce site Web. Un seul témoin sera utilisé dans votre navigateur pour mémoriser votre préférence de ne pas être suivi. En cliquant sur « Tout accepter », vous acceptez le stockage de témoins sur votre appareil pour améliorer la navigation sur le site, analyser l’utilisation du site et nous aider dans nos efforts de marketing.

GitHub repository Severitymedium builtIn

Description

A Dependabot secret literally named 'TOKEN' (or TOKEN_1, TOKEN_PROD) is a maintenance hazard - rotating it requires hunting through every workflow because the name conveys no scope or purpose. Brand-specific names (NPM_REGISTRY_TOKEN, GITHUB_PAT_PRIVATE_PKGS, AZURE_DEVOPS_PAT) make rotation surgical. Generic token names also strongly suggest credential reuse across registries, which amplifies blast radius on compromise.

En savoir plus

https://docs.github.com/en/code-security/dependabot/working-with-dependabot/managing-encrypted-secrets-for-dependabot

Recommandation

1. Go to Repository or Organization Settings -> Secrets and variables -> Dependabot. 
2. Rename TOKEN / TOKEN_* secrets to reflect the specific registry or service they unlock. 
3. Update Dependabot config (dependabot.yml) registries entries that reference the renamed secret.

Règle de politique

{
  "target": "GHDependabotSecret",
  "if": {
    "allOf": [
      {
        "resource": "GHDependabotSecret",
        "property": "Name",
        "operator": "notMatch",
        "value": "^TOKEN(_.*)?$"
      }
    ]
  },
  "then": {
    "effect": "Audit"
  }
}

« DOS5905 DOS5910 »

Détails de la règle

ID de la règle: DOS5907
Code: GH_Repository_Dependabot_Secret_Name_Should_Not_Be_Generic_Token
Plateforme: GitHub
Catégorie: repository
Sévérité: Severitymedium
Type: builtIn

DOS5907

Dependabot Secret - Name should not look like a generic token

DOS5907

Description

Recommandation

Règle de politique

Voir la logique d'évaluation (JSON)

Détails de la règle

Règles connexes